數字化校園統一身份認證系統的研究

摘 要：進入21世紀，計算機移動網絡技術迅猛發展，各種應用迅速走入人們的生活，用戶數量和應用終端數量爆發式增長，給高校的網絡建設工程提出了新的要求，應用的安全和便捷性需求問題引起了高度重視。各種各樣的應用系統，復雜繁瑣的登錄確認，權限認證等問題，迫切需要現代數字化校園集成各類網絡資源，提高應用效率，建議統一的門戶和統一的身份認證系統。

關鍵詞：統一身份認證；Kerberos Web Service單點登錄；輕量目錄訪問協議

1 研究的背景和意義

進入21世紀，計算機移動網絡技術迅猛發展，各種應用迅速走入人們的生活，用戶數量和應用終端數量爆發式增長，給高校的網絡建設工程提出了新的要求，應用的安全和便捷性需求問題引起了必要的重視。各種各樣的應用系統，復雜繁瑣的登錄確認，權限認證等問題，迫切需要現代數字化校園集成各類網絡資源，提高應用效率，建議統一的門戶和統一的身份認證系統。

數字化校園統一身份認證系統的主要理念為集成各類網絡應用，建立統一門戶和和統一的認證服務系統，實現使用唯一身份認證信息登錄和權限區分。統一身份認證的優點其一是用戶只有一個登錄賬號，在使用中注冊、登錄和修改信息時比較方便；其二是對于系統來說，可以避免各個應用系統的重復開發，統一數據庫實現數據共享，同時可以根據各個子系統的點擊率來優化整個系統結構。

當前，國內高等院校已基本建成數字化校園系統，一個安全、便捷、可靠的身份認證系統是數字化校園應用的熱點研究領域，也是實際應用的必需。

2 高職院校網絡認證管理需求分析

伴隨著近幾年網絡技術的飛速發展，大部分高職院校建成了萬兆級核心校園網絡，提供各種校園網絡所具備的電子郵箱、資產管理系統等服務，并利用無線AP覆蓋了整個校園。共享網絡資源，提供便捷服務，建成安全可靠的數字化平臺，是高職院校建設數字化校園的目的，然而這需要數字化校園網絡為學校的各類用戶提供統一認證管理的操作平臺。

要建成一個安全、便捷、可靠的身份認證系統，首先要對高職院校的需求進行分析。一般來說，高職院校的需求可從以下一個方面進行：網絡認證管理系統的需求、系統安全的需求、數據中心需求等。

從網絡認證管理系統需求的角度來說，數值化校園統一身份認證系統涉及全校資源共享和認證管理，需要其具有功能豐富、操作簡便的管理界面，穩定、高效的運行能力。面對校園內各類層次用戶的不同需求，一套安全、高效、易操作的統一身份認證平臺，標準的用戶認證借口，有助于提高系統的工作效率，減少網絡負荷，便于管理人員使用和維護整個系統。另外，可根據實際需求，在用戶認證時使用端口綁定，實時監控用戶的上網行為，確保校園網絡信息的安全。

從系統安全性需求的角度來說，數字化校園統一身份認證系統平臺的安全是數字化校園建設的核心內容之一。針對高職院校中較易發生的網絡安全事件，例如盜用IP地址、非法入侵、破解賬號密碼等，需要制定完善的網絡安全策略。用戶的上網行為，如登錄帳號、登錄時長、接入區域、IP地址等有必要得到詳細的記錄和監管。針對病毒和攻擊防護，應采用諸如防DOS攻擊、加密算法、防源IP地址欺騙等軟、硬件結合的方式進行多重防護。

從數據中心需求的角度來說，數字化校園的數據中心有必要形成一個統一的平臺，由單一核心交換機傳輸所有數據，降低運營維護成本。較高的網絡訪問速度和較快的存儲響應速度應得到重視，否則將影響數據中心的整體性能。對于數據中心存儲系統來說，保障數據的安全可靠性是首要的任務，因此核心交換設備應具備故障冗余能力和快速故障恢復能力，確保數據中心的安全可靠。另外出于管理的便捷性考慮，統一數字化校園的身份認證系統也是必要的。

3 統一身份認證系統的相關技術

所謂身份認證是指根據用戶提供的信息判斷其正確性或者合法性的過程。用戶提供的認證信息可以是用戶名、密碼，或者是指紋等。統一身份認證是指在數字化校園網絡系統內，各個不同的子系統采用同一個認證信息來驗證，其目的除了規范系統外，還可以避免用戶需記憶多種賬號密碼，防止遺忘等問題。另外利用統一身份認證系統，可以根據用戶的不同身份信息來決定用戶的訪問權限。

作為數字校園網統一身份認證系統來說，其相關的安全技術必須得到重視。要確保統一身份認證的安全性，需要通過一些網絡安全技術來實現。常用的網絡安全技術包括加密技術、認證技術、網絡安全協議等，如DES加密技術、安全套接字層（SSL）協議等。

統一身份認證系統的相關技術種類繁多，一般來說，高職院校常采用第三方認證協議Kerberos、單點登錄Single Sign On、輕量目錄訪問協議LDAP、Web Services、SOAP等。在這里文章簡單介紹一下單點登錄Single Sign On、輕量目錄訪問協議LDAP和第三方認證協議Kerberos。

單點登錄Single Sign On，是指當用戶需要訪問多個系統時，只需登錄初始訪問的系統，系統驗證通過后，就可訪問該用戶授權范圍內的相應系統。單點登錄的優點在于可以將多個系統分散的用戶集中管理，通過統一的身份信息配置不同的訪問權限，有效提高系統的安全性和便捷性，從而提高工作效率。

輕量目錄訪問協議LDAP是指在TCP/IP基礎上，定義一個相對簡單的搜索和升級目錄服務的協議。LDAP可以提供較復雜的、多層次的訪問控制或者ACI。這些訪問可在服務器端進行控制，比起在客戶端的控制，其相對更加安全、可靠。在LDAP下，用戶可以根據需要利用ACI控制對數據進行讀和寫。

第三方認證協議Kerberos是一種網絡認證協議，其目標是通過密鑰系統為C/S應用程序提供有效的認證服務。第三方認證協議Kerberos的原理是假定網絡傳輸中傳輸的數據被允許自由讀取和修改，Kerberos作為第三方認證，運用傳統的密碼技術來對數據包進行認證，確保數據的真實有效。

Web Services是基于可編程web的應用程序，具有平臺獨立、低賴合性、自包含的特點。其配置可使用開放的XML來實現，主要用來開發分布式的互操作的應用程序。Web Service技術的運用，可使不同機器上不同應用軟件的互聯和集成的實現更加便捷。

4 統一身份認證系統分析設計

統一身份認證系統必須建立一個完整的用戶身份認證體系，實現對用戶的統一授權、認證、管理和單點登錄。根據數字化校園建設的要求，建設目標如下：統一用戶認證機制、提供集中、統一、高效的用戶管理、具有良好的平臺兼容性和良好的擴展性、集成性以及高水平的安全性。

從系統功能的角度來說，統一身份認證系統可以分為兩大功能部分：身份認證管理和權限控制管理。其中，身份認證管理主要分為用戶登錄、用戶添加/刪除、用戶信息修改三個部分。權限控制管理主要分為兩塊內容：業務系統權限分配和業務系統權限查詢。統一身份認證系統通過對LDAP目錄服務器中的永和和應用系統的用戶進行各種操作來實現整個系統的運作。

從系統邏輯分層角度來說，統一身份認證系統可分為數據層、基層層和應用層。用戶使用用戶名和密碼由客戶端通過瀏覽器（基礎層）登陸統一身份認證系統，應用服務器（應用層）接收訪問申請并驗證用戶名和密碼后將有效信息轉化為LDAP目錄服務器格式向認證服務器（數據層）驗證用戶信息合法性，LDAP目錄服務器經驗證后將結果層層反饋到應用服務器、基礎層的瀏覽器，合法用戶將進行權限內操作，反之亦然。

一般來說，中等規模數字化校園系統常采用單點登錄模式，Kerberos協議是比較常見的方式之一。文章將以Kerberos協議為基礎。作為第三方認證協議，Kerberos協議的密鑰分發中心在認證過程中充當中間人的角色，在這個認證系統結構中，由其發送的憑證票據是用戶用來訪問相關服務的憑證，包含了用戶的基礎信息、加密密鑰和票據生成時間等重要信息。

根據對數字化校園網統一身份認證系統流程的設計思路，用戶初次訪問應用程序時，可能沒有憑證票據，因此瀏覽器會重新定向到統一身份認證系統，用戶使用用戶名和密碼登陸后，重新生成新的憑證票據發送到認證服務器和LDAP目錄服務器進行驗證，如果合法，認證服務器將相關信息反饋到瀏覽器，瀏覽器保存后就可以利用此信息訪問其它權限內的應用系統功能模塊。

對于權限控制管理來說，一個用戶可以擁有多個角色，而不同角色擁有不同的權限。本系統可根據角色區分權限，利用LDAP目錄服務器完成用戶的信息、角色信息和對應的權限管理。

輕量級目錄訪問協議LDAP是一種另類的數據庫，它可以存儲模式信息和訪問信息。數字化校園統一身份認證系統采用LDAP目錄服務，可以快速有效地讀取用戶的基本信息，提高管理的效率，實現對用戶信息的高校管理，提高系統的整體性能。

在數字化校園統一身份認證系統中，還需設計添加、修改和刪除用戶的功能，當用戶被添加時系統應對用戶所擁有的角色分配權限。權限管理是統一身份認證系統中很重要的一部分，其功能包括授權、監督、管理及追溯等功能，確保系統的正常運行。同樣系統也需要擁有權限的創建、修改和刪除的功能。

一般來說，在統一身份認證系統中，角色是替代用戶使用權限的實體，角色、用戶與權限可形成對應關系。同一個用戶可擁有不同的角色，行使對應的權限。

從硬件系統的角度來說，硬件設計可分為用戶層、數據層和業務層。認證服務器、LDAP目錄服務器和統一身份認證系統均屬于數據層。

當用戶瀏覽網頁時，Web服務器會在終端上保留一個cookie文件，通過此文件，用戶再次瀏覽此網站時能免去登陸密碼直接瀏覽。當瀏覽器進入Web頁面到關閉該Web頁面所經過的時間，即指Session。一般來說，cookie文件可作為服務器發送的令牌用，Session可作為發送的應用程序的訪問憑證使用。

針對各種各樣的應用子系統來說，統一身份認證系統還需解決的一個問題是需提供一個標準化的應用程序接口以滿足各類子系統的需求。通用安全服務應用程序編程接口GSSAPI是一種較常用的應用程序接口程序訪問服務，其可與Kerberos是可兼容的。另外，通過可插入身份認證模塊PAM來整合多個應用程序編程接口認證機制是常用的方法。

5 結束語

為了提高數字化校園系統的效率及安全性，高職院校需實現校園網的統一身份認證。文章主要對統一身份認證管理系統進行闡述，根據一般高職院校的實際應用需求，以單點登錄、第三方認證Kerberos以及輕量級LDAP目錄訪問協議為基礎，結合通用安全服務應用程序接口GSSAPI和可插入身份認證模塊PAM搭建完整的數字化校園網統一身份認證系統。后續如何適應新的變化，如支付方式的改變，還有待進一步完善。

參考文獻

[1]黃孌.校園網統一身份認證系統的研究與實現[D].天津大學，2013.

[2]王瑋.數字化校園統一身份認證系統的研究與實現[D].北京郵電大學，2010.

[3]鄭煥.基于Web Services統一身份認證系統研究[D].武漢理工大學，2007.

[4]賀甲寧.校園網環境下統一身份認證系統的研究與實現[D].西安電子科技大學，2015.

作者簡介：楊夢希（1981，09-），女，漢族，江蘇無錫人，本科，助理實驗師，無錫商業職業技術學院，研究方向：網絡管理。